0

Cybersecurity Wissenssammlung

In dieser Wissenssammlung findest du Artikel und Neuigkeiten zu allen Themen rund um Cybersicherheit. Wir informieren über Begriffe, Neuerungen, Sicherheitsrisiken, Einfallstore für Hacker u.v.m.

Security Experts am Bildschirm

Die Cybersecurity-Ausbildung des mITSM

In unseren Cybersecurity & Penetration Testing Trainings dreht sich alles um Cyberkriminalität und Sicherheit im Netz. Die Bedrohungslage durch Angriffe auf die IT-Sicherheit verschärft sich immer weiter. Die Schwerpunkte unserer Cybersicherheit, Hacking und Pentesting-Seminare liegen zum einen auf der Vermeidung, zum anderen auf der Untersuchung von IT-Sicherheitsvorfällen, die durch Cyberkriminalität verursacht werden.

Hacker verstehen

Wir gehen dabei auf die Zusammenhänge mit der Informationssicherheit (ISO/IEC 27001) ein und bewerten typische Schwachstellen. Ein Einblick in die IT-Forensik, also das frühzeitige Aufdecken von Hackerangriffen und Sicherheitsvorfällen, rundet unser Penetration Testing-Training ab. Wenn du die potenziellen Sicherheitslücken kennst und verstehst, wie Hacker denken, kannst du die IT-Sicherheit in deiner Organisation entscheidend optimieren.


Was sind White-Hat-Hacker?

White-Hat-Hacker am Bildschirm

Vergleicht man Hacking mit einer komplizierten Kampfkunst – dann ist ein Hacker ein Meister, jemand, der wahrscheinlich viele Jahre trainiert hat und seine Techniken beherrscht. Im fairen Kampfsport würde er gegen jemanden antreten, der die Kunst im selben oder ähnlichen Maße beherrscht. Hacking ist aber kein fairer Sport: Hier suchen sich die Hacker gezielt Opfer, die unbedarft sind, ihre Systeme entweder nicht ausreichend geschützt haben, oder sich austricksen lassen. Ein ungerechtes Duell, könnte man in dieser Analogie sagen.

Was können die unbedarften Gegner (Opfer) unternehmen? Sie dürfen sich Hilfe in den Ring holen! In Form von Cybersecurity-Experten, die sich um die Sicherheit ihrer Systeme kümmern und sie in Security Awareness schulen.
Doch um bei der Kampfsport-Analogie zu bleiben: Die Cybersicherheits-Experten müssen dieselben Techniken kennen, um eine Chance zu haben. Sie müssen Hacking beherrschen, um die Hacker zu bekämpfen. Vielleicht hast du den Begriff „White-Hat-Hacker“ schon einmal gehört. Das sind diejenigen Hacker, die metaphorisch gesprochen den „weißen Hut aufhaben“, also nichts Böses im Schilde führen. Im Grunde tun sie aber nichts anderes, als die gemeinen Hacker: Sie nutzen dieselben Techniken, schleusen sich in Systemen ein, schauen, wie weit sie kommen.

Ein Synonym zum White-Hat-Hacker ist der Penetration Tester, kurz auch Pentester genannt. Sie lernen die „dunkle Kampfkunst“ der Hacker, um sie dann zur Verbesserung der IT-Sicherheit einzusetzen und den mehrheitlich Unbedarften und „Unbewaffneten“ im Netz damit zu helfen.

Wir bieten in diesem Bereich eine zweiteilige Ausbildung an: In drei Tagen vermitteln wir dir in unserem Kurs Cybersecurity & Hacking Basics die Grundlagen, wie Hacker vorgehen. Darauf aufbauend folgt die fünftägige Schulung Cybersecurity, Ethical Hacking & Pentesting. Hier lernst du Techniken und Angriffspunkte von Cyberattacken kennen. Nach dem Kurs bist du in der Lage, Sicherheits-Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.

Uros Dobricic

Uroš ist Trainer, Consultant und Auditor in den Bereichen Cybersecurity, Pentesting und Informationssicherheitsmanagement beim mITSM. Als M.Sc. in Cyber Security mit unstillbarem Wissensdrang und der Erfahrung aus zahlreichen Projekten sorgt er für inspirierende Trainings und zufriedene Kunden.

Was genau ist das Darknet und wie ist die Unternehmens-Sicherheit davon betroffen?

Hacker am Bildschirm in dunklem Zimmer

Immer wieder wird das Darknet mit (Cyber-)Kriminalität in Verbindung gebracht. Assoziationen mit dem Darknet sind meist illegaler Waffen- und Drogenhandel sowie Foren, in denen sich Menschen radikalisieren. Doch was steckt noch dahinter? Und welche Bedrohung geht vom Darknet für Unternehmen aus?

Wodurch zeichnet sich das Darknet aus?

Der Großteil der Inhalte im Darknet sind tatsächlich illegal. Grundsätzlich aber gilt dies nicht als Definition, es gibt dort auch legale Inhalte. Das Darknet ist ein Teil des Deep-Webs, das sich dadurch auszeichnet, dass die Inhalte dort nicht durch Suchmaschinen erfasst werden. Der größte Teil des Deep-Webs sind z.B. Datenbanken und Seiten, die zugangsgeschützt sind.

Das Darknet ist nur ein kleiner Teil des Deep-Webs, der absichtlich vor Suchmaschinen und anderen Crawlern verborgen wird. Anfragen werden über mehrere Proxy-Server geleitet, sodass die eigene IP-Adresse nicht zurückverfolgt werden kann. Schätzungen zu Folge macht es ca. 5 Prozent vom gesamten Internet aus.

Der Zugang zum Darknet erfolgt über einen gewissen Browser namens „Tor“. Mit diesem Browser kann der Nutzer anonym surfen, sowohl im „normalen“ Web (Clear Web), als auch im Darknet.

Warum wird das Darknet für Unternehmen nun immer relevanter?

Es gibt viele Risiken für Unternehmen, die durch das Darknet und dem dort stattfindenden Handel befeuert werden. So werden neben Malware-Programmen auch Trojaner und andere Spionage-Programme im Darknet verbreitet und gehandelt.

Große Hacker-Gruppen vertreiben hier inzwischen ihre Malware im großen Stil und verlangen dafür bei erfolgreichen Hacking-Angriffen eine Gewinnbeteiligung. Eine der bekanntesten Hacker-Gruppen REvil hat so im letzten Jahr geschätzt um die 81 Millionen Dollar eingenommen.

Durch diese Malware und Spionage-Angriffe werden oft Kunden- und Geschäftsdaten erbeutet, die dann wiederum von den Angreifern im Darknet angeboten werden.

Lerne dich zu schützen

Zusammengefasst lässt sich feststellen, dass das Erstarken des Darknets sicher seinen Teil dazu beigetragen hat, dass sich die Cyber-Bedrohungslage in den letzten Jahren verschärft hat. Unternehmen müssen nun dringend handeln und ihre Sicherheitskonzepte nachrüsten. Neben einem intakten Informationssicherheitsmanagementsystem nach ISO 27001 ist es wichtig, dass alle Mitarbeiter in Security Awareness geschult und in der Lage sind, Cyberattacken zu erkennen.


Die Königsdisziplin der Cybersecurity: Penetration Testing

Penetration Tester bei der Arbeit

Die Cyber-Bedrohungen nehmen weltweit zu. Um zu prüfen, ob Unternehmensnetzwerke vor Hackern sicher sind, braucht man Experten, die verstehen wie Hacker denken und vorgehen. Diese führen sogenannte „Penetration Tests“, oder auch „Pentests“ durch. Sie simulieren einen Cyberangriff und versuchen sich in das Unternehmensnetzwerk zu hacken. Ein Penetration Tester oder Pentester wird deshalb auch als „Ethical Hacker“ bezeichnet. Er verfügt über die Skills eines Hackers, nutzt diese aber nicht zum Diebstahl von Daten. Stattdessen deckt er mögliche Sicherheitslücken auf, die das Unternehmen daraufhin schließen kann.

Penetration Tests: Vorteile und Risiken

Penetration Testing ist ein wichtiger Teil der Cybersecurity. Sicherheitsexperten schätzen, dass dieses Gebiet weiter an Bedeutung gewinnen und bis 2025 zu einer 4,5-Mrd.-Dollar-Industrie heranwachsen wird. In einigen Branchen sind Penetration Tests bereits Pflicht.

In einem ausführlichen Report eines Penetration Tests sind alle erkannten Sicherheits-Schwächen detailliert aufgelistet, inklusive einer Risikoschätzung. So kann das Unternehmen sinnvoll priorisieren und entscheiden welche Risiken in der IT sie als erstes aus dem Weg räumen müssen.

Selbstverständlich birgt die Durchführung von Penetration Tests selbst auch Risiken: Der Penetration Tester benötigt Zugang zu den firmeninternen Anwendungen und Netzwerken. Ein Pentester, der nicht sorgsam und gewissenhaft arbeitet, oder sehr unerfahren ist, kann großen Schaden verursachen: Zum einen, kann er tatsächlich im System Schaden anrichten, zum anderen, kann er Dinge übersehen, die der sich in Sicherheit wiegenden Organisation später auf die Füße fallen.

Den richtigen Pentester auswählen und ihn unterstützen

Penetration Tests sind in unseren Zeiten der erhöhten Bedrohungslage notwendig und werden dies auch in Zukunft sein. Um die Tests sicher und ohne Sorge durchführen lassen zu können, empfehlen wir Folgendes: Wähle einen Penetration Tester aus, der bereits Erfahrung in verschiedenen Branchen und in unterschiedlichen Unternehmensstrukturen gesammelt hat. Achte außerdem auf die Zertifizierungen, die er vorweisen kann. Um seine Arbeit zu verstehen und ihm vielleicht ein Sparringspartner zu sein, empfehlen wir dir, unsere Cybersecurity-Schulungen zu besuchen.

Wir zeigen dir, wie Hacker denken. In unserem ITSec Lab lernst und trainierst du verschiedene Angriffsszenarien – die Hälfte der Kurse bestehen aus praktischen Übungen. Nach der Schulung, verstehst du was der Penetration tut und weißt, wie du ihn unterstützen kannst. Unsere Cybersecurity-Schulungen legen auch den Grundstein dafür selbst Penetration Tester zu werden: Du bekommst alle Werkzeuge an die Hand, die du benötigst. Um selbstständig Penetration Tests in Unternehmen durchführen zu können, musst du im Anschluss an die Ausbildung allerdings praktische Erfahrung sammeln.


IT-Sicherheitsgesetz 2.0: IT-Sicherheit ist Staatssache

Überwachungskameras

Die Regierung hat am 16.12.2020 quasi im Eilverfahren das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“ verabschiedet. Im Eilverfahren deshalb, weil das Innenministerium (BMI) den entsprechenden Verbänden kaum Zeit eingeräumt hat, um zum neuen Gesetzesentwurf Stellung zu nehmen. Das hat im Vorfeld zu lauter Kritik geführt.

Inhalt des neuen IT-Sicherheitsgesetz

Das neue Gesetz sieht unter anderem vor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig als eine Art „Digital-Polizei“ agieren soll. Es erhält Kompetenzen, die es zur aktiven Abwehr von Cyberkriminalität benötigt. Zu den Aufgaben des BSI soll zählen, Produkte zu untersuchen, Datenverkehr zu verfolgen, Rechner zu scannen und Clients zu löschen. Das BSI wird so eine Art Gefahrenabwehrbehörde des digitalen Deutschlands. Dafür wird das BSI personell aufgerüstet: Es werden 799 neue Stellen geschaffen.

Außerdem wird ein IT-Sicherheitskennzeichen eingeführt, was für die Bürger – im Sinne des Verbraucherschutzes – die IT-Sicherheit von Produkten kennzeichnen soll.

Kritik am neuen IT-Sicherheitsgesetz

Bisher mussten nur kritische Infrastrukturen festgelegte Sicherheitsstandards erfüllen und einer Meldepflicht nachkommen. Diese Regelung soll nun auch für weitere Bereiche der Wirtschaft – große Konzerne und Unternehmen der Branchen Rüstung und Chemie – gelten. Dies ist in der Sache sicherlich sinnvoll, bedeutet für die Unternehmen aber zunächst eine Belastung durch zusätzliche Bürokratie und Sicherheits-Nachrüstung.

Das BSI soll künftig erfassen, welche IT-Sicherheitsmaßnahmen die Konzerne ergreifen. Das BSI verlangt von den Unternehmen künftig Selbsterklärungen zu deren IT-Sicherheit. Auf Basis dieser Erklärungen wird das BSI Ratschläge geben, wo mögliche Sicherheitslücken sein könnten. Der bürokratische Aufwand wird groß sein. Dazu kommt, dass es sich um eine sehr schnelllebige Umgebung handelt, die sich ständig weiterentwickelt. Dieses Vorhaben wird eine große Herausforderung für das BSI werden.

Zusätzlich erlaubt das neue Gesetz weniger Transparenz: Das BSI prüft die Unternehmen auf Sicherheitsmängel. Bisher hatte es die Pflicht, die betroffenen Unternehmen sofort zu unterrichten, wenn es welche festgestellt hat. Diese Pflicht wurde gelockert – das BSI darf entsprechende Informationen nun wohl zurückhalten. Allerdings ist nicht geklärt, unter welchen Umständen das BSI Informationen zurückhalten darf.

Ein zusätzliches Problem ist, dass die Zuständigkeit für Cyber-Gefahrenabwehr bisher nicht beim Bund liegt. Dem BSI diese Befugnisse zu übertragen, bedarf rechtlich einer Grundgesetzänderung.

Das Politikum: Der 5G Ausbau

Das deutsche Mobilfunknetz soll auf 5G ausgebaut werden. Dafür plant die Regierung Komponenten u.a. vom chinesischen Konzern Huawei einzusetzen. Das neue IT-Sicherheitsgesetz sieht vor, dass Komponenten, die für die digitale Infrastruktur genutzt werden, geprüft und zertifiziert sein müssen. Die Hersteller müssen eine Garantie-Erklärung abgeben, dass die Bauteile nicht missbraucht werden können. Die Regierung kann die Verwendung solcher Komponenten auch nachträglich verbieten. Wenn der Hersteller z.B. Schwachstellen erkennt und diese nicht umgehend meldet. Insgesamt wird es schwer für viele Hersteller sein, diese Anforderungen erfüllen zu können.

Das mITSM als dein Experte für IT-Sicherheit

Wir bieten verschiedene Beratungsleistungen zu IT-Sicherheit an. Zum Beispiel unterstützen wir bei der Einführung eines ISMS für KRITIS Betreiber nach ISO 27001. Außerdem bieten wir Penetrationstests an, um Schwachstellen in der IT-Sicherheit deines Unternehmens zu identifizieren.

Wenn du selbst Experte für IT-Sicherheit werden willst, bietet das mITSM außerdem verschiedene Schulungen zum Thema an: Neben Datenschutz-Schulungen gibt es die umfangreichen Schulungen mit Personenzertifizierung zur ISO 27001.


Sicherheitsrisiko Homeoffice

Geöffneter Laptop am Küchentisch

Mit der Corona-Pandemie erhielt das Homeoffice Einzug in die meisten deutschen Unternehmen. Viele Firmen stellt diese Umstellung vor große Herausforderungen, vor allem im Bereich Sicherheit.

Im Herbst 2020 wurde im Rahmen einer Studie 2000 im Homeoffice-Arbeitende dazu befragt, wie sehr sie dabei auf Sicherheit achten. Und das Ergebnis lässt Sicherheitsverantwortliche erblassen: 59% der Befragten haben zugegeben, sich nicht an Sicherheitsregelungen ihrer Unternehmen zu halten. Meistens umgehen sie die Regeln, um ihre Effizienz zu erhöhen. Wer kennt es nicht: Kurz etwas an die private Email-Adresse schicken, um es drucken zu können, ein Passwort an den Kollegen weitergeben, oder ein zusätzliches Programm installieren. Es sind Kleinigkeiten, die im Homeoffice vermehrt vorkommen, aber sie können zum Risiko werden. Viele Mitarbeiter sind sich der Risiken nicht bewusst und müssen deshalb dringend in Security Awareness geschult werden.

Homeoffice: Ein Trend, der bleibt

Während das Homeoffice zunächst zum Schutze aller eingeführt und zeitweise sogar per Gesetz durchgesetzt wurde, wird es ein anhaltender Trend bleiben und ist inzwischen ein fester Bestandteil vieler Beschäftigungen geworden. Das heißt, Unternehmen müssen mit den zusätzlichen Sicherheits-Risiken leben und Maßnahmen ergreifen, um ihre Organisation entsprechend besser zu schützen. Doch noch immer setzen viele Unternehmen auf die ursprünglich aus dem Boden gestampften Hauruck-Lösungen fürs Homeoffice.

Akutes Risiko für Cyberangriffe

Einer Forrester-Umfrage vom Herbst 2021 zu Folge wurden mehr als 90 Prozent der Unternehmen seit Beginn der Pandemie mindestens einmal Opfer eines Cyberangriffs. Dabei richtete sich der Großteil der Angriffe gezielt auf Mitarbeiter im Homeoffice. Bei diesen Cyberangriffen handelte es sich meist um Malware, die über Social-Engineering-Attacken auf die Rechner der Mitarbeiter gelangte.

Rund 25 Prozent der Unternehmen in Deutschland schätzen die Risiken durch erfolgreiche Hacking- und Ransomware-Angriffe als existenzbedrohend ein. Allerdings hält knapp die Hälfte es für unwahrscheinlich, Daten durch einen Cyberangriff zu verlieren und stellt deshalb keine weiteren Ressourcen für Sicherheits-ExpertInnen zur Verfügung. Hierbei kann es sich um eine Fehleinschätzung mit fatalen Folgen handeln.

Die größten Cyber-Risiken im Homeoffice haben wir hier für dich zusammengetragen:

Phishing, fingierte Websites, unsichere Netzwerke

Viele Mitarbeiter kommen nun zum ersten Mal in Kontakt mit Phishing-Mails und Fake-Seiten. Ohne die richtige Awareness haben sie kaum eine Chance diese als solche zu erkennen. Durch das Homeoffice sind sensible Daten nun verstärkt in unter Umständen weniger gesicherten Netzwerken unterwegs. Dort werden sie von Mitarbeitern verwendet, denen es nicht selten an Wissen und Sicherheitsbewusstsein fehlt. Das heißt, die sich weder der Wichtigkeit der Aktualisierung von Browsern noch von Antivirenprogrammen bewusst sind.

Nutzung von Schatten-IT

Auch Schatten-IT ist im Homeoffice zunehmend ein Problem: Mitarbeiter nutzen hier vermehrt nicht-freigegebene Software. Das können zum Beispiel Cloud-Lösungen sein, die nicht den Compliance-Richtlinien des Unternehmens entsprechen. Man wird hier leicht verleitet, denn man kennt die vermeintlich sicheren Anwendungen und deren Vorteile oft aus dem Privaten. Oftmals helfen sie die Effizienz bei der Erledigung von Aufgaben zu steigern – gerade Führungskräfte mit mangelndem Sicherheitsbewusstsein und Verständnis für IT sind gefährdet.

Erschwerter Identitätsschutz

Ein weiterer Punkt ist, dass fast alle Menschen identische Passwörter mehrfach nutzen: Auf verschiedenen Geräten und für verschiedene Anwendungen. Im Fall eines Hackerangriffs kann das weitreichende Folgen haben. Auch die Nutzung der Firmen-Hardware für Privates kann zum Problem werden, vor allem wenn Kinder, oder andere Familienmitglieder auch Zugang zum Laptop haben.

Awareness schaffen

Jeder Mitarbeiter kann ein Sicherheitsrisiko darstellen. Deshalb ist es essentiell, diese so gut wie möglich zu schulen. Denn nur wer Sicherheitsrisiken kennt, kann diese auch identifizieren und sich schützen. Das mITSM bietet verschiedene Möglichkeiten zur Sicherheitsschulung an. Angefangen bei unserer halbtägigen Security-Awareness-Schulung, bis hin zu umfassenden Ausbildungen zum Thema Datenschutz und Informationssicherheits-Management nach ISO 27001. Alle Schulungen sind auch inhouse als exklusive Online-Veranstaltung oder bei deinem Unternehmen vor Ort möglich.


Steigende Cyberkriminalität: EU-Gesetz für einheitliche Sicherheitsstandards

Cybersecurity-Experte am Bildschirm in einem Rechenzentrum

Mit der zunehmenden Digitalisierung geht eine stärkere Vernetzung einher (Stichwort: Internet of Things). Damit steigt das Risiko von Cyberkriminalität weiter an. Denn ein erfolgreicher Hacking-Angriff in einem großen IoT-System legt im Zweifelsfall alle vernetzten Produkte und Services lahm. Je umfangreicher die Systeme, desto schwerwiegender die möglichen Folgen eines Angriffs.

Nachdem die Zahl der Cyberattacken auch 2021 wieder angestiegen ist im Vergleich zum Vorjahr, handelte die EU: Die Europäische Kommission erarbeitete ein Präventions-Gesetz, um eine EU-weite Cybersicherheitspolitik zu etablieren. Das Gesetz fokussiert sich auf vier Punkte: Zunächst sollen sich die EU-Staaten auf eine gemeinsame Cyber-Verteidigungspolitik verständigen. Die EU will einen einheitlichen Sicherheitsstandard festlegen und die Bedrohungslage mit erweiterten Schutzmechanismen in Schach halten. Außerdem sollen Maßnahmen ergriffen werden, mit Hilfe derer Sicherheitslücken in Systemen frühzeitig erkannt werden können. Auch eine Abschreckungs-Doktrin mit Sanktionen für Angreifer ist im neuen Gesetz enthalten.

Neben der Vorbeugung von Cybersicherheits-Vorfällen, will EU-Kommissar Breton außerdem aktive Maßnahmen ergreifen: Er möchte ein gemeinsames Cyber-Abwehrzentrum aufbauen und in ganz Europa sogenannte Security Operation Centers errichten. So sollen Auffälligkeiten möglichst früh erkannt und Netzwerke schneller wieder gesichert werden können.

Willst du lernen, wie du deine Organisation vor der steigenden Cyberkriminalität schützen kannst? Dann empfehlen wir unsere Schulung Cybersecurity & Hacking Basics. Hier zeigen wir dir, wie Hacker denken und wie Cyberangriffe aussehen können.


Angriffsziel: Krankenhaus und Klinikum

Rettungswagen in Alarmfahrt vor Großstadtlichtern

Als Teil der kritischen Infrastrukturen sind Krankenhäuser im Fokus von Cyberkriminellen. So wurde zum Beispiel das Uniklinikum Düsseldorf im Herbst 2020 Opfer einer Cyberakttacke. In 2021 gab es bereits drei erfolgreiche Angriffe auf deutsche Kliniken: Die Urologische Klinik in Planegg, die Evangelische Klinik in Lippstadt und zuletzt, im Juli 2021, traf es das Klinikum Wolfenbüttel. Oft handelt es sich um Ransomware-Angriffe. Bei einem Ransomware-Angriff geht es um Erpressung: Hacker verschaffen sich Zugang zu einem Netzwerk, verschlüsseln die darin enthaltenen Daten und geben diese gegen eine Lösegeldzahlung, oft in Kryptowährung, wieder frei.

Der Deutschen Krankenhausgesellschaft (DKG) zufolge hat sich die Bedrohungslage für kritische Infrastrukturen, im Speziellen Krankenhäuser, in den letzten Jahren verschärft. Die Cyberangriffe sind sowohl häufiger als auch perfider geworden. Dies hängt sicherlich damit zusammen, dass sich durch den Digitalisierungs-Schub mehr Möglichkeiten für die Hacker ergeben haben. Überstürzte Digitalisierungs-Maßnahmen bergen außerdem das Risiko für Sicherheitslücken.

Patientendatenschutzgesetz im Krankenhaus

Um diesem Trend entgegenzuwirken und sicherzustellen, dass Krankenhäuser auch in Zukunft die medizinische Versorgung garantieren können, hat das BSI nun gegengelenkt: Das IT-Sicherheitsgesetz und das Patientendatenschutzgesetz (PDSG) von 2020 sehen vor, dass sich Kliniken entsprechend dem branchenspezifischen Sicherheitsstandard B3S schützen. Sie müssen Maßnahmen ergreifen, um Störungen in Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden.

Stichtag für IT-Sicherheit der Kliniken: 01.01.2022

So sind alle Krankenhäuser und Kliniken (auch kleine, die nicht als KRITIS gelten) verpflichtet, ab 01.01.2022 den B3S9 für die Gesundheitsversorgung umzusetzen. Konkret bedeutet das, dass sie ein Informationssicherheitsmanagementsystem (ISMS) einrichten müssen. Ein Informationssicherheitsbeauftragter muss sicherstellen, dass die Anforderungen aus dem B3S9, die branchenspezifischen Verordnungen und die ISO 27001 dabei beachtet werden.

In unserer eintägigen Schulung Informationssicherheit im Krankenhaus vermitteln wir das Wissen, das du brauchst, um dein Krankenhaus oder dein Klinikum fit zu bekommen. Wir zeigen dir, wie du ein ISMS unter Einhaltung des B3S9 aufbaust. Die Termine finden Online Live oder bei uns vor Ort in München statt.


Kritische Infrastrukturen: Cyber-Bedrohungslage nimmt zu

Cyberkrimineller bei der Arbeit

Im Juli 2021 ging ein spektakulärer Hackerangriff durch die Medien: Das IT-System des Klinikums Wolfenbüttel in Niedersachsen wurde teilweise lahmgelegt. Den Cyberkriminellen war es gelungen, Schadsoftware auf die Klinik-Server zu spielen – sie versuchten daraufhin Lösegeld in Form von Bitcoin zu erpressen.

Auch in anderen Zweigen und in der Verwaltung häufen sich die Cyberangriffe. So wurde zum Beispiel ein französischer Pharma-Konzern im März Ziel eines großen Angriffs: Das Unternehmen musste seine Produktionsanlagen herunterfahren. Die Industrie ist durch die zunehmende Vernetzung, dem Internet of Things, zunehmend gefährdet. Nicht nur die IT-Systeme, welche die Mitarbeiter nutzen, können zum Ziel werden, auch die digital vernetzten Anlagen fallen den Hackern zum Opfer.

IT-Sicherheitsgesetz: Nachweispflicht für KRITIS

Einen hundertprozentigen Schutz vor Cyberattacken gibt es nicht. Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) ist allerdings wichtige Grundlage für weitgehenden Schutz. Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen dazu, gewisse Sicherheitsmaßnahmen zu ergreifen, um Störungen in Verfügbarkeit und Informationssicherheit zu vermeiden. Alle zwei Jahre müssen sie nachweisen, dass sie diese Vorkehrungen getroffen haben. Die Prüfung der kritischen Infrastrukturen muss dafür gemäß des KRITIS-Nachweisverfahrens nach §8a (3) BSIG erfolgen, wofür eine entsprechende Personenzertifizierung notwendig ist.

Gerne unterstützen wir dich auf deinem Weg zur Zertifizierung, mit unserer zweitägigen KRITIS-Schulung. Wir bereiten dich intensiv auf die Zertifizierungsprüfung vor und geben dir das praktische Wissen an die Hand, das du benötigst.


Faktor Mensch in der IT-Sicherheit: Social Engineering

IT Sicherheit: Mann vor dem Bildschirm

Nachdem Cyberangriffe stetig zunehmen und enorme Schäden verursachen, fokussieren sich Unternehmen und Organisationen immer mehr darauf, ihre Netzwerke auf technischer Ebene zu schützen. Für Außenstehende wird es dann sehr schwierig in diese einzudringen. Cyberkriminelle suchen sich also eine Schwachstelle, über die sie sich vielleicht doch Zugang verschaffen können. Und diese Schwachstelle ist meist leider: Der Mensch.

Das schwächste Glied

Durch gut getarnte Social Engineering Maschen, schaffen es die Hacker, sich Zugang zu Netzwerken zu verschaffen. Inzwischen starten ca. 92% der Cyberangriffe mit einer Phishing Mail. Die meisten dieser Phishing Mails sind dilettantisch und schaffen es nicht einmal durch den Spam-Filter deines Mailprogramms. Doch leider sind immer noch eine große Menge an Phishing Mails dabei, die es in dein Postfach schaffen. Die Champions davon – diejenigen mit relevantem Inhalt und täuschend echtem, vermeintlich bekanntem Absender – werden geöffnet. Die Tatsache, dass es nur ein Bruchteil der Mails überhaupt ins Postfach schafft, klingt erst einmal beruhigend. Die schiere Masse an versendeten Phishing Mails führt allerdings dazu, dass es sich um ein enormes Problem handelt:

Jeden Tag werden weltweit ca. 3,4 Milliarden Phishing-Mails verschickt. Ca. 18% davon schaffen es durch die Spam-Filter der Mail-Programme. Von diesen 18%, die im Postfach landen werden wiederum ca. 30% geöffnet.

Das entspricht weltweit 183,6 Mio. geöffneten Phishing Mails pro Tag. Hacker nutzen Schwächen und Krisen aus, um an ihr Ziel zu gelangen: Zu Beginn der Corona-Krise sind zum Beispiel extrem viele Phishing Mails mit „Corona“ im Betreff grassiert. Mit diesem aktuellen und relevanten Thema erreichten die Cyberkriminellen extrem hohe Öffnungsraten, bis zu 78.8%. Dies entspricht deutlich mehr als dem Doppelten der durchschnittlichen Öffnungsraten.

Dies ist nur ein Beispiel von Social Engineering. Awareness zu schaffen ist das A und O für Organisationen jeder Art, Größe und Branche. Zum Thema Awareness bieten wir zum einen eine halbtägige Security Awareness Inhouse-Schulung für dein Team an, zum anderen haben wir kurze E-Learnings zu verschiedenen Sicherheits-Themen.


Gefahren im Cyberspace

Halb aufgeklapptes Laptop in buntem Licht

Die Cyber-Bedrohungslage nimmt zu, Experten schlagen Alarm. Die ENISA (European Union Agency for Cybersecurity) hat in einer umfassenden Analyse die 10 größten Gefahren im Cyberspace gesammelt.

Die 10 größten Cyber-Gefahren

  • Die Angriffsfläche im Bereich Cybersicherheit wird sich weiter vergrößern, da die Digitalisierung weiter voranschreitet
  • Der soziale und wirtschaftliche Status Quo wird nach der Pandemie noch mehr auf einen sicheren Cyberspace angewiesen sein
  • Social Media Plattformen werden immer mehr für verschiedene Arten von Angriffen genutzt.
  • Wertvolle Daten, wie geheime Daten anderer Staaten oder IP, werden in ausgeklügelten Angriffen von staatsnahen Hackergruppen abgegriffen.
  • Attacken, welche in kurzer Zeit viele Menschen erreichen, werden für verschiedene Ziele eingesetzt, wie Passwort-Diebstahl.
  • Die meisten Angriffe zielen nach wie vor auf Geld ab.
  • Ransomware ist und bleibt weit verbreitet, was zu hohen finanziellen Schäden bei den Organisationen führt
  • Viele Sicherheitsvorfälle bleiben entweder komplett unentdeckt oder werden erst nach langer Zeit entdeckt.
  • Organisationen werden mehr in Cyber Threat Intelligence investieren müssen.
  • Es werden immer mehr Menschen Opfer von Phishing, seit Systeme so sicher geworden sind, dass der Mensch meist das schwächste Glied ist.

Sicherheitsbewusstsein der Europäer

Die ENISA kommt zu dem Schluss, dass die EU-Bürger an sich bereits ein gewisses Sicherheitsbewusstsein vorweisen können. Sie nutzen Anti-Virus-Software, öffnen keine Mails von Unbekannten und surfen ausschließlich auf sicheren Seiten. Viele tappen trotzdem in die Fallen der Cyberkriminellen: Diese nutzen ausgeklügelte Angriffstechniken, die schwer erkennbar sind. Dementsprechend schwer ist es sich vor ihnen zu schützen.

Cyberkriminalität verhindern: Awareness schaffen

Das mITSM hat ein neues Security Awareness Training entwickelt, mit Hilfe dessen wir seit Jahresbeginn Mitarbeiter in verschiedenen Positionen und Branchen schulen. Das Training kann entweder Inhouse bei Ihnen vor Ort stattfinden, oder als Online Live Kurs einzeln gebucht werden.

Das Training sensibilisiert dich und deine Mitarbeiter in einem halben Tag anhand von praxisnaher, konkreter Angriffsszenarien für gängige Arten von Cyberangriffen. Jede/r Mitarbeiter/in im Unternehmen soll erfahren, welche Gefahren hinter gewissen vermeintlich harmlosen Situationen stecken können. Unsere Security-Experten vermitteln das Wissen praxisnah und geben konkrete Handlungsempfehlungen an die Hand. Zu unserem Security Awareness Training.


IT-Sicherheit und Corona-Krise

Mitarbeiter im Homeoffice

Die aktuelle Krise mit ihren anhaltenden Kontaktbeschränkungen führt viele Mitarbeiter ins Homeoffice. Dieser Wandel, der im vergangenen Frühjahr recht plötzlich eingeläutet werden musste, führt zu gewissen Risiken im Bereich IT-Sicherheit. Mitarbeiter, die nicht ausreichend geschult sind, sind sich dieser Gefahren oftmals nicht bewusst. Cyber-Kriminelle wissen das. Dies führt dazu, dass in einer Umfrage, die VMWare im Sommer durchgeführt hat, 91% der Unternehmen angaben, vermehrt Cyber-Angriffen ausgesetzt zu sein.

Als wichtige Skills der IT-Sicherheit gelten:

Netzwerksicherheit: Durch Malware- und Hackerangriffe verschaffen sich Cyber-Kriminelle Zugang zu Unternehmensnetzwerken. Es gilt also Firewalls zu stärken und Remote-Zugriffe zu regeln.

Cloud-Sicherheit: Cloud-Lösungen vereinfachen die Zusammenarbeit, bergen aber auch Risiken. Dementsprechend müssen Richtlinien erstellt und Schutz-Technologien implementiert werden.
Sicherheitsarchitektur: Unternehmensstrukturen und Prozesse müssen langfristig auf Homeoffice ausgerichtet werden mit allen Sicherheitsaspekten, die dies beinhaltet.

Einer Studie von Robert Half zu Folge gab die Hälfte der Sicherheitsverantwortlichen der befragten Unternehmen an, dass sie der IT-Sicherheit und dem Informationsschutz höchste Priorität einräumen. Diese Tatsache lässt sich Robert Half und Gartner Talent Neuron zufolge auch am Arbeitsmarkt erkennen: Experten für IT-Sicherheit sind seit Pandemiebeginn diejenigen Fachkräfte, die am schwierigsten zu finden sind. Weltweit fehlen zwei Million Cyber-Sicherheitsexperten.

Deshalb kann es für viele Unternehmen sinnvoll sein, vorhandene IT-Experten bezüglich Sicherheit zu schulen und so intern eigene Sicherheitsexperten auszubilden.


Kann ein IoT-Fitnessgerät zum Sicherheitsrisiko werden?

Sportliche Frau beim Work-out am Fitness-Fahrrad

Diese Debatte entbrennt gerade über ein Hobby des neuen US-Präsidenten Joe Biden. Er und seine Frau Jill Biden sind nämlich bekennende Peloton-Jünger. Wer den Trend bisher verpasst hat: Das Peloton-Bike ist eine stationäres Fitness-Fahrrad, das mit einer Lifestyle-Plattform vernetzt ist. Es gibt eine Community, die gemeinsam trainiert und sich so gegenseitig motiviert. Um das zu ermöglichen ist das Peloton-Bike mit Kamera und Mikrofon ausgerüstet. Für normale Verbraucher ist das Sicherheitsrisiko wahrscheinlich überschaubar, aber wenn der mächtigste Mann der Welt eine Wanze im Haus hat, könnten Hacker hellhörig werden.

Um dein IT-Sicherheitsrisiko zu minimieren, bieten wir verschiedene Seminare zum Thema Informationssicherheit an. Um einen Überblick über IT-Sicherheit zu erlangen, besuchst am besten unsere eintägige Grundlagenschulung der Security Basics. Lass dich zum geprüften Datenschutzbeauftragten ausbilden oder lerne die international gültige Norm ISO 27001 kennen und erfahre, wie du die Informationssicherheit in deinem Unternehmen erhöhst.

Uros Dobricic

Uroš ist Trainer, Consultant und Auditor in den Bereichen Cybersecurity, Pentesting und Informationssicherheitsmanagement beim mITSM. Als M.Sc. in Cyber Security mit unstillbarem Wissensdrang und der Erfahrung aus zahlreichen Projekten sorgt er für inspirierende Trainings und zufriedene Kunden.
+49 89 - 44 44 31 88 0